De wet die de rechtsgeldigheid van elektronische handtekeningen regelt maakt meer mogelijk dan alleen de gekwalificeerde handtekening. Welke handtekening nodig is, hangt af van diverse factoren. De taskforce PKI-Overheid blijkt de kostbare gekwalificeerde handtekening als uitgangspunt te nemen. Daarmee legt de overheid de lat onnodig hoog.
Op 21 mei 2003 is de Wet Elektronisch Handtekeningen in werking getreden. Hierdoor kan een elektronische handtekening dezelfde geldigheid hebben als een handgeschreven. De Nederlandse overheid heeft al in 1999 een voorschot op deze wet genomen. Daartoe is de taskforce PKI-Overheid in het leven geroepen. Deze taskforce neemt onder meer de digitale handtekening gebaseerd op een gekwalificeerd certificaat als uitgangspunt. Bovendien maakt ze onderscheid tussen de diverse functies die een digitale handtekening kan herbergen.
Beide uitgangspunten hebben nogal wat consequenties. De keuze voor digitale handtekeningen gebaseerd op een gekwalificeerd certificaat (gekwalificeerde handtekeningen) zorgt voor hoge kosten bij de eindgebruiker. Bovendien zal bij communicatie met en door de overheid de gekwalificeerde handtekening verschillende functies (moeten) hebben. Dit houdt in dat de gebruiker meerdere certificaten moet aanvragen. De toch al hoge kosten van een digitale handtekening moeten dan kennelijk worden vermenigvuldigd met het aantal functies dat de gebruiker wil benutten. Dit is een onpraktische en dure aanpak.
Onjuist beeld
De laatste tijd wordt veel geleund op de Wet Elektronische Handtekeningen als het gaat om gekwalificeerde handtekeningen. Daardoor ontstaat het beeld dat dit het enige type handtekening zou zijn dat bij elektronisch berichtenverkeer rechtsgeldig is. Dit beeld is onjuist. De wet geeft duidelijk aan dat rechtsgeldigheid ook op allerlei andere manieren kan ontstaan.
Uitgangspunt voor de wet is de elektronische handtekening. Dat is de grote verzameling handtekeningen, mede vanwege de van de techniek onafhankelijke formulering van de definitie van de e-handtekening. De digitale handtekening is een vorm van een e-handtekening. De gekwalificeerde handtekening is weer een vorm van een digitale handtekening. Een ander vorm is de technisch geavanceerde handtekening.
De wet maakt duidelijk dat de vraag of een e-handtekening voldoende betrouwbaar is om geldig te kunnen tekenen allereerst afhankelijk kan zijn van het type handtekening dat is gekozen. Om voldoende betrouwbaar te zijn moet een digitale handtekening aan zes wettelijke voorwaarden voldoen: hij is op unieke wijze aan de ondertekenaar verbonden; hij maakt het mogelijk de ondertekenaar te identificeren; hij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; hij is zodanig verbonden aan het bestand waarop hij betrekking heeft dat elke wijziging achteraf valt op te sporen; hij is gebaseerd op een gekwalificeerd certificaat; en hij is gegenereerd door een veilig middel.
Is aan alle zes voorwaarden voldaan, dan is sprake van een gekwalificeerde handtekening. In die zin hebben voorstanders van dit type handtekening het gelijk aan hun zijde. Er speelt echter meer mee.
Rechtsgeldigheid
De wet bepaalt duidelijk dat, als niet aan de laatste twee voorwaarden is voldaan, de handtekening toch voldoende betrouwbaar kan zijn. We spreken dan over een technisch geavanceerde handtekening. De laatste twee voorwaarden hebben betrekking op twee bijlagen waarin dertig extra eisen staan. Juist deze voorwaarden zorgen voor de exorbitant hoge prijzen van een gekwalificeerde handtekening, terwijl ook de technisch geavanceerde variant veilig kan zijn, tegen een veel lagere prijs.
Let wel, met een digitale handtekening koop je geen veiligheid, zelfs als dit een gekwalificeerde vorm zou zijn. Betrouwbare elektronische communicatie valt of staat met de mate waarin de hele organisatie hierop is ingesteld. De keten van betrouwbaarheid is zo sterk als de zwakste schakel.
Diezelfde wet bepaalt ook dat een handtekening rechtsgeldig kan zijn als geen sprake is van een technisch geavanceerd exemplaar, laat staan een gekwalificeerde vorm. Hij kan dus zelfs rechtsgeldig zijn als aan minder dan vier van de voorwaarden is voldaan.
In de toelichting bij de wet staat dat partijen ook een bepaald betrouwbaarheidsniveau contractueel kunnen afspreken. In dat geval kan zelfs een bepaald wachtwoord als handtekening rechtsgeldig zijn. Ook de gevoeligheid, de aard, van de te verzenden gegevens bepaalt het benodigde type handtekening. In veel gevallen is het vanwege de aard van de gegevens niet noodzakelijk om een gekwalificeerde handtekening te gebruiken om toch rechtsgeldig elektronisch informatie uit te wisselen. Het lijkt er eerder op dat alleen in die gevallen waarvoor de wetgever heeft vastgesteld dat partijen moeten werken met een gekwalificeerde handtekening deze gebruikt moet worden om rechtsgeldig te kunnen ondertekenen.
De gevoeligheid van informatie hangt samen met het doel waarvoor deze wordt verzonden. Als het gaat om het afgeven van een digitale beschikking, bijvoorbeeld een vergunning, is een andere handtekening nodig dan wanneer een organisatie digitaal wil factureren of betalen. Dan is er nog het vangnet van ‘de omstandigheden van het geval’. Dit is een vangnet voor uitzonderingssituaties. Stel dat het netwerk van een organisatie voor elektronisch berichtenverkeer zo veilig is dat kan worden volstaan met een ‘lichte’ handtekening. Dan is dit vangnet te gebruiken om rechtsgeldigheid te krijgen met die lichte vorm. Een ander voorbeeld is het gebruikmaken van een encryptie-algoritme van meer dan 64.000 bits.
Kortom, er is meer tussen hemel en aarde dan de digitale handtekening gebaseerd op een gekwalificeerd certificaat. Met dat in het achterhoofd bekijken we de ‘pki-businesscase’ van de Nederlandse overheid.
Niet altijd nodig
De taskforce PKI-Overheid neemt in zijn ‘businesscase’ de gekwalificeerde handtekeningen als uitgangspunt. De achtergrond voor de keuze van dit type handtekening ligt in de eisen waaraan moet worden voldaan. De vraag is of dit altijd nodig is.
Allereerst is een gekwalificeerde handtekening op dit moment duur; hij kost soms honderden euro’s. Door zo’n dure vorm van een e-handtekening voor te schrijven legt de Nederlandse overheid de lat wel erg hoog voor het toepassen van elektronisch berichtenverkeer met haar burgers, terwijl in veel gevallen een technisch geavanceerde handtekening zal volstaat.
Een aantal organisaties heeft al onderkend dat een gekwalificeerde handtekening niet altijd nodig is. Een voorbeeld hiervan is de Bank Nederlandse Gemeenten, die heeft gekozen voor een technisch geavanceerde handtekening. Door zelf de authenticatie en verificatie van de aanvragers van de door de BNG verstrekte digitale handtekeningen af te handelen, kan zij tegen veel lagere kosten een betrouwbaarheidsniveau creëren dat in die sector volstaat.
Onoverzichtelijk
De taskforce heeft bovendien als uitgangspunt dat een gekwalificeerd certificaat meerdere, gescheiden functies kan hebben. Deze functies zijn authenticiteit, onweerlegbaarheid en vertrouwelijkheid. In de praktijk zal een gebruiker meerdere van deze functies willen gebruiken. Het lijkt er sterk op dat hij dan meermalen een op dit moment kostbare handtekening zal moeten aanschaffen. Dit terwijl een technisch geavanceerde handtekening al deze functies voor een fractie van de prijs herbergt.
Deze scheiding heeft nog een groot praktisch nadeel. Gezien de ambitieuze doelstellingen van de Nederlandse overheid zijn gebruiksgemak en eenvoud cruciaal. Dan is het bijzonder dat de ‘businesscase’ niet alleen onderscheid maakt tussen drie functies die de gekwalificeerde handtekening kan hebben, maar ook tussen de domeinen waartussen elektronisch berichtenverkeer plaatsvindt. Er worden drie domeinen onderscheiden: Overheid, Bedrijfsleven en Burger. Dit betekent dat alleen al bij berichtenverkeer tussen en met de overheid (drie maal drie is) negen typen handtekeningen ontstaan. Dat maakt het er niet overzichtelijker op.
Tel daarbij op dat voor iedere handtekening een ‘certificate practice statement’ vereist is (een document waarin staat omschreven hoe de partij die digitale handtekeningen verstrekt aan alle regels heeft voldaan.) Dit impliceert dat we in het slechtste geval te maken krijgt met negen omvangrijke en lastig leesbare documenten. Door deze uitgangspunten scoort de door de overheid gekozen casus niet hoog wat betreft kosten, gebruiksgemak en eenvoud.
De inwerkingtreding van de wet die de rechtsgeldigheid van e-handtekeningen regelt biedt veel voordelen en maakt meer mogelijk dan alleen de gekwalificeerde handtekening. Welke handtekening nodig is, hangt af van diverse factoren. De Nederlandse overheid legt de lat te hoog door de nu te dure gekwalificeerde handtekening als uitgangspunt te nemen, terwijl deze vaak niet nodig is. Bovendien maakt de structuur van de pki-‘businesscase’ het de burger en het bedrijfsleven niet gemakkelijk.< BR>
Friso de Jong, directeur Silverback